По словам экспертов, для того, чтобы получить доступ к управлению гаджетом, пользователю достаточно всего лишь просмотреть ролик. Скрытые голосовые команды, которые может содержать видеозапись, неуловимы для уха зрителя, но воспринимаются мобильными устройствами.
Исследователи акцентировали внимание на том, что видеозапись вовсе не обязательно просматривать на экране смартфона: достичь цели хакер может и «извне», когда ничего не подозревающий пользователь просматривает YouTube-ролики на любом соседнем устройстве — ноутбуке, компьютере, смарт-ТВ и пр. При этом голосовые команды все равно смогут достичь телефона, после чего он будет взломан.
Взлому по описанному сценарию подлежат как мобильные устройства на IOS, так и на Android. Приняв голосовую команду, которая для пользователя воспринимается как бессвязный набор звуков или не слышна вообще, электронный ассистент Google Now или Siri отдает команду для перехода по ссылке и загрузки вредоносного софта.
Таким образом, пока пользователь просматривает видео на своём компьютере или телевизоре, его смартфон может исполнять команды злоумышленника. Успешно осуществленная атака позволит хакерам получить удалённый доступ к мобильному устройству, загрузить на смартфон вредоносное ПО, подделать параметры конфигурации, завладеть конфиденциальными пользовательскими данными и пр. При этом в самом видео в этот момент могут звучать дополнительные шумы, поэтому пользователь даже не поймёт, что происходит, если случайно не посмотрит на смартфон.
По словам специалистов, обезопасить владельца мобильного устройства от подобной угрозы с вероятностью более 99.8% позволит активация на устройстве опции доставки уведомлений на получение и исполнение голосовых команд.
Это не первый случай взломов смартфонов через популярную платформу видеохостинга. Ранее сотрудники Техасского университета говорили о возможности взлома смартфона на Android при идентификации владельца. В поле разблокировки достаточно было ввести максимальное количество символов, после чего ОС выдавала ошибку и блокировка снималась. За обнаруженную «брешь» в защите смартфонов на Android, группа исследователей из Техаса получила денежное вознаграждение от разработчиков. Однако в этот раз ни одна из ведущих компаний — производителей мобильных устройств текущую ситуацию пока не прокомментировала.
zdnet.com
pdf версия c подробным описанием метода и эксперимента
На этом всё, с вами был Dronk.Ru. Не забывайте возвращать деньги за покупки в Китае и подписываться на наш блог, будет ещё много интересного.
Рекомендуем:
— Экономим до 8% с каждой покупки на AliExpress и других интернет-магазинах Китая
— Почему интернет-магазины отдают деньги за покупки?
— Верните свои деньги — Выбираем кэшбэк-сервис для Aliexpress
— История развития Dronk.ru — от выбора квадрокоптеров до возвращения денег за покупки на AliExpress и не только
— Лучший кэшбэк сервис или 5 основных критериев оценки кэшбэк-сервиса
Комментарии (29)
braindamagedman
13.07.2016 09:03Жутковато. Вспомнил про фильм «Четвертый вид»… Если бы я услышал такие команды где-нибудь — сразу бы убежал))
Platon_msk
13.07.2016 10:13Неделю назад, простудившись, я разговаривал почти таким голосом, какой они используют для «взлома». Меня тоже можно было назвать эксплуататором уязвимости?
Только вот что это за уязвимость, если, как правило, тот же Google Now активируется по кнопке либо на смартфоне, либо на гарнитуре, либо через смарт часы?dron41k
13.07.2016 10:18А как же окей гугл или привет, сири?
Platon_msk
13.07.2016 10:33Если у вас аккумулятор в рюкзаке, то опция постоянного прослушивания для распознавания «Ok, Google», возможно и включена. Но обычно для этого нужно, чтобы был запущен либо поисковик, либо сам «нау».
Ruckus
13.07.2016 10:50В настройках можно включить «OK Google» даже на экране блокировки и, вроде, с выключенным экраном.
Platon_msk
13.07.2016 11:18Да, можно. Но если вы не хотите, чтобы аккумулятор телефона разрядился через пару часов, то вряд ли у вас эта опция включена. Что я и написал в предыдущем комментарии.
Killan50
13.07.2016 14:07Инфа о потреблении батарейки сильно преувеличенна, у меня пятый нексус и разница не более 20%.
widestream
13.07.2016 14:07у меня 6s и постоянно включенное «привет, Siri» на часах и телефоне. И за пару часов не разряжается:)
cazebo
13.07.2016 11:19Шутки шутками, но на вопросе Джея про овцу у меня откликнулась лежащая рядом с колонками Сири из планшета:
https://www.youtube.com/watch?v=uPwo-nHWQaM
wiwrel
13.07.2016 12:32А у меня похоже более старая версия (Lenovo P770, Android 4.1.1). Вообще никак не реагировал на звук из колонок, зато свободно реагировал на мой голос. Так что мне можно не опасаться за возможность такого взлома :)
Alabastr
13.07.2016 12:43Есть какая-то подстройка под голос же. На работе проверяли ( у всех правда андройд) — у всех устройства откликаются на хозяина и на меня. Мой голос подходил ко всем устройствам.
FrostRus
14.07.2016 00:26использую смарт в авто. ok google включен в фоновом режиме (даже при выключенном экране), чтобы можно было не отвлекаясь управлять плеером и навигацией. Так вот, мой «ok google» бывает распознается раза со 2-3 (несмотря на тренировку), а вот бормотание из радио или аудиокниг иногда триггерит помощника (хотя там вообще ничего похожего вроде как не произносили). С аудиокнигами вообще печально получается — приходится перематывать соответствующий фрагмент, т.к. при повторном прослушивании триггерится опять в 100% случаев. В общем, как-то слишком хитро у них там паттерн распознается
zte189
13.07.2016 14:08Я правильно понимаю, что если включено распознавание собственного голоса — то с большой вероятностью этот метод не сработает?
strelokr
13.07.2016 17:32+1была такая.Тема. смотрю телефон лежит на разядке а на экране открыт поиск гугл и моя последняя сказанная фраза. Сразу же залез в настройки гугл now и выключил срабатывание везде кроме когда явно не вызван голосовой поиск
Ndividuum
13.07.2016 22:19Провертел несколько раз видео, и тембр менял и громкость и подносил планшет в колонкам ближе — нулевой результат. При этом через пол комнаты с разблокированным экраном всегда успешно откликается на «Окей, Гугл».
Что-то в этом демо пахнет жаренным.
murzilka
14.07.2016 13:05> Скрытые голосовые команды, которые может содержать видеозапись, неуловимы для уха зрителя
Возможно, я чего-то не понимаю, но команды эти слышны вполне отчётливо.
EndUser
На моей версии ничего не вышло. Во-первых, Now не запускается без спросу. Во-вторых, наверное, старая версия.
Но принцип любопытный и остроумный.
Признаться, без демонстрации из других новостей я сначала подумал, что команды посланы вне акустического диапазона.
alexeyborealis
В настройках надо установить отклик на «okay Google» с любого экрана.
Google settings — Search & Now — Voice — «Ok Google» detection.
Не работает при выключенном экране.
EndUser
Проверял при открытом Google, включённом экране и опции слушать голосовую команду — в общем конфигурация, которая действительно распознаёт мой призыв «окей, гугл!»
(В остальное время у меня гугл закрыт и на мой голос ничего не реагирует)